降低风险 从人开始
开篇:润墨网以专业的文秘视角,为您筛选了一篇降低风险 从人开始范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
随着互联网在企业中的深入应用,各种病毒威胁因此也找到了新的突破口,如何规范员工的上网行为,降低企业的安全风险,成为如今企业面临的新挑战。
场景篇
企业网络安全风险多因上网不规范
在IDC连续多年的信息安全年度报告中,总有一个结论被一再强调一企业所面临的信息安全问题,超过80%来自于其内部。而这80%的问题中,几乎大半与员工个体行为有关,尤其是员工滥用网络的行为。
员工有意无意访问了不恰当的资源,病毒、蠕虫、木马、恶意代码和间谍软件会由网页、Email、聊天工具等方式侵入到企业内部网络,从而威胁到企业的网络安全。
有的员工通过日益盛行的P2P下载软件下载大容量的文件,占用了正常的网络带宽,要么造成网速低下,要么导致网络堵塞,给企业的正常运营带来了严重影响。
对此,一种被称为上网行为管理的网络安全产品逐渐被C10所认识。虽然目前的网络威胁越来越多,但从普遍意义上说,如果上网用户规范好自己的上网行为,甚至是一些无知的网络操作,企业的网络安全风险应该会减少一大半。
上网行为管理,就是管理用户的上网行为,对其行为的产生、过程、结果以及其它与之关联的内容进行综合监控、管理和分析,及时发现问题并解决问题。
在深信服公司高级产品经理邱德文看来,一个行之有效的上网行为管理方案,需要包含一系列完整的功能,如过程跟踪、过程记录、行为控制、报告报表、日志分析等,而并非单纯地将一些已有的防火墙,防毒墙或综合安全网关之类的产品功能进行组合。
一般来说,一款上网行为管理产品需要具备以下三个主要功能。内容审计,对员工的聊天内容、访问网址、来往Email等外发信息进行审计,要能保存记录,并对敏感的内容通过多种方式实时警告,及时发现员工的危险行为,避免泄密或规避法律风险;流量控制,网络管理员可以实时检查公司员工的下载流量,及时发现恶意下载的员工并能迅速进行限制处理,以保障其他员工的正常上网需求;应用程序控制,对BT、视频、游戏等容易导致网络问题的软件可强行限制或禁止,甚至对求职、网络交易等软件和网站实施屏蔽,以规范员工的上网行为。
北京网康科技有限公司产品总监宋强认为,目前很多安全产品或多或少都具备某些上网行为管理功能,重要的是,单独提及上网行为管理这个概念的厂商也越来越多了。上网行为管理已经成为一个细分市场的潮流。
目前,关注上网行为管理领域的厂商既有国内的也有国外的,国内如深信服、网康、启明星辰等,国外如BlueCoat、Websense等,它们在技术上各有所长,产品也各有特色。
从用户角度来看,无论是国外厂商还是国内厂商的产品,能够经得住各种规模企业用户的实际测试,解决用户的网络管理问题,确保用户的网络安全,才是真正合适的上网行为管理产品。
建议篇
上网行为管理:要“有”,更要“专”
目前,市场上有些安全产品不仅拥有上网行为审计功能,还将防火墙、防毒墙、IPS等功能放到一个产品中,导致用户误以为该类产品功能强大,应用这个设备,其他安全设备似乎都不需要了。而事实上,目前主流的硬件平台在性能上无法满足同时开启如此多的功能,实际使用时,往往只能开启其中一两个功能模块。
要想管理好内网用户的上网行为,确保企业的信息安全,最好是依靠单独的上网行为管理设备,至少上网行为管理的技术功能要强大。不仅要“有”,而且要“专”,所谓“术业有专攻”。
由于一款主流的上网行为管理产品主要包括封堵/过滤、流控和审计三个基本功能,因此用户在采购时,需要注意以下几方面的问题:
识别加密应用。近年来,很多“不良”应用在呈现加密化的趋势,例如让网管“谈之色变”的P2P软件,木马网站,Skype、QQ等聊天工具……在这些加密应用面前普通的上网行为管理产品无能为力。
对此,普通低端的上网行为管理产品只能够封堵普通的HTTP网站或MSN等非加密应用,管控上存在漏洞。只有专业的上网行为管理产品才能够对加密应用进行管控,通过全流量分析等技术实现对加密应用的识别和封堵,如对加密BT、Skype、MSNShell的精确识别和封堵。
流量控制能力。强大的流量控制能力对于上网行为管理产品真正发挥功效非常重要。因为用户需要针对应用类别、网站类型、上传下载的文件类型,结合不同用户组和时间段进行带宽划分和流量管理,实现对核心业务的带宽保证,对非业务应用的带宽限制。
例如,可为领导用户组的视频会议流量保证带宽、固定预留指定带宽资源,以保证视频会议的通畅;在设备上创建新的URL分组,包含市场部同事经常访问的数十个行业网站,为市场部用户组访问这些行业网站进行带宽动态保障,并为每个用户细化带宽分配策略;设计部经常需要上传下载CAD等大型文件,对此行为进行带宽保障;对外提供服务的内网服务器,也可以进行带宽划分与分配;针对所有人的P2P行为进行带宽限制,既允许用户使用P2P,又不会严重占用组织的宝贵带宽资源。
日志库是否完备。上网行为管理产品审计内容后,会对信息进行统计汇总、分类查询等,并支持生成图形化的报表,数据中心功能的强大,对“信息审计”功能的发挥有着重要的意义。
首先,数据中心应该可以独立安装。因为上网行为管理产品需对所有的上网行为进行记录,日志量庞大。一个干人的网络每周可产生十多GB甚至数十GB的数据。这些数据如果都存储在上网行为管理设备里,不仅会很快占满设备的存储空间,还会影响产品性能。所以,上网行为管理产品的数据中心需要支持独立安装,这样就实现了日志的海量存储,最大限度地发挥上网行为管理产品的性能。
其次,数据中心需要支持搜索功能。目前有些上网行为管理产品虽有日志存储,但查询方式简陋。
如用户查“源代码”这个关键字,只能按照人物和时间段查询。而有些上网行为管理产品可以提供类似Google的搜索界面,通过在数据中心首页搜索关键字,内网用户访问过的网页内容、收发过的邮件及其附件,QQ中的聊天信息、上传下载的各种文件等,只要其中有“源代码”这个关键字,都可以直接查询到。
有些厂商甚至还提供日志的主题订阅功能,将用户感兴趣的关键字搜索记录自动发送到用户指定的邮箱,实现人。
性能是否够用。如果没有良好的性能,上网行为管理产品根本无法智能处理内网的各种应用。而且随着用户内网规模的扩大,一旦上网行为管理产品性能不足,不仅会影响网速,甚至会出现宕机、业务中断的危险。所以性能也是需要重点关注的问题。
应用篇
行业差异性不容忽视
随着互联网应用给企业带来越来越多的方便,随之而来的问题也越来越明显。比如企业内部人员透过网络泄漏敏感资料,员工因私上网影响工作效率等等,企业网络管理人员迫切需要限制员工的上网行为。但是,不同行业的企业员工的上网行为特征有所差异,对于上网行为管理的功能侧重也有所不同。
在金融行业,上网行为管理的重点在于对内网的外发信息具有较强的审计控制能力。金融企业一般规模较大,多是上市公司,而即将实施的萨班斯法案对于上市公司的信息安全具有很高的要求,所以金融企业在选择上网行为管理产品时,侧重于选择识别能力较强的,对于外发信息的审计和控制做得足够好的设备以保障内部机密信息的安全性。总之,金融企业需要一套严谨的审计系统来保障外发信息的安全。
另一个重点则是教育行业。教育行业用户的特点在于内网用户数量众多,学生数目动辄上万,如何管理这么多的内网用户就成了CIO们的一个突出问题。随着近些年P2P软件应用的流行,这种靠掠夺网络资源的下载行为在各大高校的校园网络里普遍存在,由此导致高校相对较大的出口带宽在P2P下载面前变得拥挤起来。
强大的流量控制管理能力是教育行业用户在使用上网行为管理产品的重点所在。另外,为避免个别激进学生通过网络在BBS、非法网站上发表不负责任的言论,教育行业用户往往还会强调上网行为管理产品对于外发信息的审计控制能力。
另外一些大型企业或事业单位,由于内网用户数量较多、工作职能多样,上网行为管理主要针对规范员工的上网行为,比如使用聊天工具、视力点播、P2P下载、网络炒股等,主要起到对应用的管控和防止泄密的作用,目的是提高工作效率、保障信息安全。
对于中小企业来说,他们往往需要一套设备解决多个问题,既能保证上网行为管理产品可以划分带宽、合理分配流量,又要能审计外发信息,还需要具有网关杀毒、防火墙、防ARP欺骗,防DOS攻击、IPS等附加功能,他们关注的是一整套问题解决方案。
至于技术的发展趋势,上网行为管理产品未来将主要集中在识别率的不断提高、智能化水平不断提升上面。因为各种新的网站、新版本的应用软件在不断地涌现,URL库、应用协议识别库等常用管理手段的更新速度再快,也不可能实现实时的立即更新。未来的上网行为管理产品可以自动学习新出现的网页、应用软件的特征,并对其进行自动分类,再根据管理员设置的管理策略进行管理。
体验篇
江苏油田管控上网行为提升网络安全性
中国石油化工股份有限公司江苏油田分公司(以下简称江苏油田)成立于2001年,其前身是1975年组建的江苏石油勘探局。
该公司总部设在江苏省扬州市,分支机构遍布江苏、安徽两省6市12县,员工超过15万人,是集石油勘探开发一体化,油气生产、加工与销售配套,跨地区、跨行业的综合性大型国有企业。
江苏油田在行业内率先部署了ERP系统,但ERP运行受到网络阻塞的困扰。为此,IT管理人员进行了一系列的调查与分析,最终将问题的焦点锁定在企业网络中的未授权应用上。后经发现,部分员工习惯在网上使用诸如BT下载等未授权软件,导致了网络中存在大量的并发用户,对企业网关造成了极大的压力。
事实上,江苏油田的网络系统中充斥着大量的MSN、QQ等聊天工具,同时通过P2P下载产生的数据流无间断性的在网络中传输,占用了大量的网络带宽。
此外,几乎所有被使用的未授权软件都存在着一定程度上的系统漏洞,这些系统漏洞有可能成为网络病毒或黑客攻击的途径,让攻击行为有机会绕过防火墙直接威胁企业的网络系统。倘若网络中应用软件被黑客利用,通过其中的漏洞达到盗取企业信息的目的,不但会给江苏油田的商业利益带来重创,还会直接影响到国家的能源战略安全。
为了解决上述问题,江苏油田选用了基于ProxySG设备的Blue Coat上网行为管理解决方案,通过控制网关处应用软件的流量来节省互联网带宽,从而达到提升网络访问速度,提高关键业务效率的目标。与此同时,该解决方案有效地阻止了网络内的未授权应用,提升了企业网络系统安全性和劳动生产率,并且加强了江苏油田的法规遵从性。
Blue Coat上网行为管理解决方案可以对网络中的应用进行识别和控制,将未授权应用产生的网络连接请求阻断在企业网关处,在节省网络带宽的同时避免了病毒或者黑客利用第三方软件漏洞绕过防火墙的攻击威胁,提升了网络的整体安全性。
中国石化集团江苏石油勘探局信息部主任杨立民表示,江苏油田在互联网网关处部署了Blue Coat ProxySG设备上网行为管理解决方案后,能够对员工上网行为进行基于策略的管理,有效杜绝了网络系统中的未授权应用,不仅提升了网络的整体安全性,还为企业节省了555的网络带宽。
上海文广“重整”带宽资源
作为一家省级大型新闻媒体单位,上海文广新闻传媒集团(简称上海文广)一直非常注重于企业自身的信息化建设,单位局域网构建比较完善。不过,上海文广工程师邓旭华介绍说,由于集团特殊的工作性质,过去一直没有对网络流量实施严格的管控策略,于是,BT、Emule、迅雷、网际快车等P2P应用占据了大部分的带宽资源,随着业务和应用的不断增加,带宽不断扩容,不仅上网成本上升,而且众多用户还是抱怨网速太慢。
同时,流量不断上升致使互联网出口的流程管理和防火墙等设备不堪重负,在高峰时段CPU利用率基本上100%,导致网络无法正常访问,进一步恶化了上网环境。此外,对用户上网行为也无法进行追溯,这对企业的网络安全防护以及企业机密信息的保护形成了重大隐患。上海文广认识到,单靠增加出口带宽和更换设备不能根本解决问题,必须对上网行为进行适当的管控和审计。
于是,上海文广决定尝试使用深信服的上网行为管理设备。上海文广互联网出口带宽为200M,上网用户三千多人,测试设备以串联方式连接在互联网出口。设备上线后,对绝大多数流量协议,甚至一些加密应用均能快速识别。根据流量监测统计结果,上海文广马上对影响网络带宽最严重的P2P等流量进行了限流,并采取了带宽优化分配策略,使网络出口的负载下降了40‰往常工作日高峰期拥堵的状况得到了明显的缓解,从而减少了带宽的滥用现象,确保了关键业务的正常使用,用户的上网体验也得到明显的改善。
同时,该设备可根据AD进行分组和用户认证,另外完善的日志与报表查询统计和审计功能,可方便企业精细化管控。在北京奥运会期间,该设备也经受了高流量、高要求的考验,成功地为上海文广奥运保障期安全上网进行了保驾护航。如今,上海文广已经与深信服达成合作,全面部署完成了其上网行为管理产品。